Hola fisco130,

Acceder a un archivo PHP alojado en un servidor de HTTP implica que siempre se ejecutará en el servidor antes de devolver los datos al cliente (el navegador normalmente).

Como bien resaltas, usando una conexión FTP o algún protocolo de transferencia de archivos sería la única forma acceder a un archivo PHP sin ejecutarlo.

Este tema de seguridad depende más del servidor donde esté alojado que del desarrollador.

Espero haberte aclarado algo

Un saludo.